特集 今週、Instructureがデータ窃盗・恐喝グループShinyHuntersと「合意に達した」とき、教育テクノロジー大手は、攻撃者が2億7,500万人の学生、教師、職員に関連するデータを盗んだと主張した後、Canvas ユーザーに対して、プライベートチャットとメールアドレスがダークウェブマーケットプレイスに現れず、この事件で恐喝されないことを保証した。
「データ破棄のデジタル確認(削除ログ)を受け取りました」とInstructureは、影響を受けた約9,000の大学およびK-12学校に保証した。「この事件の結果として、Instructure の顧客は誰も公開的または私的に恐喝されないことが通知されています」と。
The Register と話した回答者の誰一人としてこれが真実だと信じていない。
「彼らがデータを削除したと思いますか?いいえ。彼らは犯罪者とクズです」とRecorded Future 脅威インテリジェンス分析者Allan Liska(別名ランサムウェアソムリエ)は述べました。
「しかし、これはMax Smeets が「ランサムウェア信頼逆説」と呼ぶものの一部です」と彼は付け加えました。「ランサムウェアグループは、最低限、削除したと主張したデータを投稿しないか、誰も将来彼らに支払わないことをしなければなりませんが、これはデータがおそらく削除されていないという知識で実行されます」と。
Halcyon ランサムウェア研究センターSVP Cynthia Kaiser(以前はFBIで20年間過ごした)は、ランサムウェアグループの操作を研究している誰もが、ギャングが実際に盗まれたファイルを破棄したと信じているとは思わないと述べました。
最終週または入学シーズン中の午前3時の操作上の現実は、機関をまったく異なる計算に向かわせる可能性があります
「「データを破棄しました」は、支払いが行われるか交渉が終了した後の恐喝グループからの標準的な文句ですが、何度も何度も、それは真実ではないことが証明されています」とKaiser はThe Register に述べました。「特にShinyHunters は、キャンペーン全体で盗まれたデータをリサイクル、転売、および再活用した文書化された歴史があります。彼らが以前の侵入から含まれていると主張したデータは、数か月から数年後に犯罪フォーラムで再浮上しました」と。
Kaiser はこれが学校がCanvasブレーチから直面する最後の脅威だとは思わないと述べました。
「Halcyon は、今後6~12ヶ月間、流出した名前、メールアドレス、Canvas チャットコンテキストを使用して、スタッフ、学生、および保護者に対する標的付きフィッシング波が予想されています」と彼女は言いました。
明確にするために:Instructure エグゼクティブはコンパニーが身代金を支払ったと直接言ったことはなく、犯罪者がデジタル学習事業から要求した正確な金額は不明です。
しかし、「合意に達した」は被害者が支払ったことを意味する企業用語です。サイバーセキュリティ企業Tanium の主任教育アーキテクトDoug Thompson は、その数字は500万ドルから3,000万ドルの間のどこかにあると推定しています。
一方、この最新の恐喝攻撃は、デジタル泥棒がネットワークを侵害し、機密情報を盗むとき、人々のデータを保護することを信頼されている組織が直面する不可能な選択を示しています。
「FBIは支払わないと言っています」とThompson はThe Register に述べました。「しかし、最終週または入学シーズン中の午前3時の操作上の現実は、機関をまったく異なる計算に向かわせる可能性があります。そのインセンティブ構造が変わるまで、教育は通常より恐喝圧力に脆弱なままである可能性が高いです」と。
支払うか、支払わないか?
米国連邦政府、法執行機関、民間セクターの脅威インテリジェンス分析者は全員、被害者に身代金を支払わないよう助言しています。
「身代金を支払うことは犯罪者に報酬を与え、新しい被害者の検索に資金を提供し、私は長い間ランサムウェア支払いの禁止を提唱してきました」とEmsisoft 脅威分析者Luke Connolly は述べました。「しかし、すべての組織に適用される規制がない場合、厳しい現実は、Instructure が危機に直面し、リスクと害を最小限に抑えるために交渉したことです」と。
企業は攻撃者に身代金を支払いたくないし、ほとんどは支払わないと言っています。少なくとも原則的には、犯罪行為に資金を提供し、犯罪者にインセンティブを与えたくないからです。
また、支払いがデータの返却を保証したり、追加の恐喝の試みを防止することも保証しません。CrowdStrike は昨年の夏、1,100人のグローバルセキュリティリーダーを調査し、過去1年間にランサムウェア攻撃を経験したと述べた78パーセントのうち、身代金を支払った83パーセントは再び攻撃されました。さらに、93パーセントは支払いに関係なくデータを失いました。
データは、より少ない組織が犯罪者の身代金要求を支払っていることを示唆しています。Chainalysis は2025年の支払う被害者の割合が過去最低の28パーセントに低下したことを発見しましたが、攻撃が過去最高に達したにもかかわらず、恐喝またはランサムウェア感染に直面した場合、「支払うか、支払わないか」の議論ははるかに複雑になります。
「ほとんどの組織は公開的に支払わないと言い、多くは本当にそうしていません。しかし、代替案が学生、両親、および数千の顧客機関への大規模な下流害である場合、計算が変わります」とKaiser は述べました。「ShinyHunters のようなPay-or-leak グループは、強烈な財務および評判圧力を作成することによってその計算を特に設計し、要求が満たされない場合、被害者企業、従業員、およびクライアントの直接的な嫌がらせにエスカレートします」と。
ShinyHunters はそうしました。クルーは4月下旬にInstructure を最初に妥協し、最初のpay-or-leak 期限が5月6日に過ぎた後、ShinyHunters は学校ごとの恐喝に戦術を切り替えました。彼らは約330のCanvas 学校ログインポータルに身代金メッセージを注入し、Instructure にプラットフォームをオフラインにさせ、最終試験と多くの高度な配置テスト中の1日間を失わせました。
他のランサムウェア詐欺師は恐ろしい極端に行き、給料を得るために幼稚園児の写真と住所を投稿し、がん患者のヌード写真をリークしスワッティング攻撃の脅迫をしました。
Mandiant Consulting CTO Charles Carmakal は、以前The Register に、ランサムウェア感染は「心理的攻撃」に変わり、犯罪者がエグゼクティブの子供をSIM スワップして、親にプレッシャーをかけて支払わせたと述べました。
リスク計算
学生、患者、顧客、および従業員を直接嫌がらせている犯罪者に対応することに加えて、被害者組織は、犯罪者が個人または健康データをダンプした場合の潜在的な訴訟も考慮に入れる必要があり、すべてのこの保護された情報がオンラインで公開されるのを見ることから評判へのダメージも必要です。
ランサムウェア攻撃で何をするかについての決定はリスク軽減を中心に回転していると、Liska は述べました。
「身代金を支払わないことは、この場合は深刻な害を引き起こす可能性のあるデータ曝露の増加したリスクを意味します」と彼は述べました。「ほとんどのランサムウェア交渉では良い決定はありませんが、アイデアはできるだけ多くの人々を保護することであり、支払うことは最も悪い選択肢かもしれません」と。
彼はInstructure ケースに対応したり調査したりしませんでしたが、「子どもたちのデータを保護することは絶対に重要な要素です。特に攻撃がThe Com に関連するグループの1つから発信される場合です」とLiska は付け加えました。
The Com は、主に英語を話す緩くまとめられたグループで、ShinyHunters やScattered Lapsus$ Hunters などの複数の相互接続されたハッカー、SIM スワッパー、および恐喝者のネットワークにも関与しており、子どもと10代を恐喝して銃撃、刺傷、およびその他の実生活上の犯罪行為を実行させることが知られています。
「これらのグループは、ブリッキングやスワッティングを含む身体的危害の脅迫を使用して被害者を強制することが知られています」と彼は述べました。「支払わないことは、データが公開された子どもたちへの深刻な害のリスクを増加させた可能性があります」と。
教育セクター「支払う可能性が高い」
Instructure の侵入は、教育部門のソフトウェアプロバイダーに対する他の複数の高名な攻撃に従います。
2024年12月、PowerSchool は数千万人の学生に影響を与えるブレーチを受けました。同社は、攻撃者がデータを破棄しているとされるビデオと交換に、約285万ドルのビットコインを支払ったと報告されています。しかし、約5ヶ月後の2025年5月、ed-tech プロバイダーの学校地区顧客は、PowerSchool をヒットした同じランサムウェアクルーまたは犯人に関連する誰かから個別の恐喝脅迫を受けました。
今年の初め、ShinyHunters はより広範なSalesforce 関連の侵入の波の一部として、K-12ソフトウェアプロバイダーInfinite Campus からデータを盗んだと主張しました。
「教育は、組織がまだプレッシャーの下で支払う可能性が高い部門の1つとして浮かんできている」とThompson は述べました。
学生 – 特に未成年者 – のデータに非常に機密性の高い個人情報が含まれており、したがって攻撃者にとって魅力的なターゲットを提示することに加えて、これは部分的に市場圧力と経済学によっても駆動されています。
疑いの余地なく、将来の攻撃があるでしょう
Thompson によると、学校が学習管理システムを切り替えるのは費用がかかり、不便であり、通常これらのソフトウェアベンダーとの複数年契約に縛られています。
「もう一つの問題は集中です」と彼は述べました。「比較的少数のベンダーが教育システムの莫大な部分のデータを保持しています。PowerSchool 、Infinite Campus 、Canvas 、Blackboard 。これら4つはほぼすべてのアメリカの学生のレコードを保持し、ハッカーはそれを知っています。このうち3つは過去18ヶ月間に数百万レコード規模でブレーチされました」と。
Thompson は、主要な教育プラットフォームに対する追加の攻撃が続くことを期待していると述べました。
「経済は良いです。Instructure は支払った。PowerSchool は昨年支払った。他のすべてのed-tech ベンダーのボードはちょうど彼らの数が何であるかについて会話をしました」と彼は述べました。「パターンが確立されています」と。
Connolly によると、Canvas ハックの影響を受けた大学とK-12学校は、Instructure の保証または詐欺師の削除約束に関係なく、データを安全と見なすべきではありません。「疑いの余地なく、将来の攻撃があるでしょう」と。®
